Virusbestrijder in de publiciteit met OS X virus

Onder andere Wired schrijft over een viruswaarschuwing van Intego, dat publiceert over een manier in Mac OS X om applicaties te vermommen als bijvoorbeeld mediabestanden. Intego is zelf maker van antivirussoftware voor OS X, maar Mac-gebruikers zouden minder bang zijn voor virussen dan diegenen die Windows hebben geïnstalleerd. Apple heeft met zijn besturingssystemen een relatief klein marktaandeel en is daarom, en mogelijk ook door de opzet van de systemen en andere factoren, nauwelijks een doelwit van virusmakers.

Mac OS X Het gevaar van de methode die het bedrijf beschrijft, is dat gebruikers zonder het te merken code uitvoeren, terwijl het bestand ook op de verwachte manier geopend wordt. Hoewel Intego niet de details bespreekt, lijkt het te gaan om applicaties met zogenoemde data en resource forks. In de resource fork wordt dan metadata opgeslagen die informatie geeft over het type data. Terwijl een file bijvoorbeeld de extensie mp3 heeft en zich voordoet als muziekbestand, krijgt het als type applicatie en wordt code in het bestand uitgevoerd na een dubbelklik. Die code zou opgeslagen kunnen worden in de ID3 tags.

Overigens werken dit soort applicaties alleen wanneer ze gestart worden vanuit Finder. Het openen van "geïnfecteerde" bestanden in bijvoorbeeld iTunes leidt niet tot uitvoer van de code. Bovendien blijft de metadata alleen intact wanneer deze op de een of andere manier meegestuurd wordt met het bestand. Dit gebeurt gewoonlijk alleen via archieven. Een simpel mediabestand levert op zichzelf geen risico's op. De methode om applicaties te vermommen is niet nieuw en Intego lijkt slechts zwakheden in OS X te willen aantonen. Waarschijnlijk heeft het bedrijf wel belang bij de publiciteit die het krijgt met zijn publicatie.

Lees meer

IT-banen

Reacties (31)

-GSF-JohnDoe 9 april 2004 15:05

De methode om applicaties te vermommen is niet nieuw en Intego lijkt slechts zwakheden in OS X te willen aantonen. Waarschijnlijk heeft het bedrijf wel belang bij de publiciteit die het krijgt met zijn publicatie.

het is dus eigenlijk gewoon een publiciteitsstunt?

^Mo^ @-GSF-JohnDoe • 9 april 2004 15:20

Ook misschien om aan te geven dat Mac OS X geen heilige graal is.

Alles kan stuk, ook Mac OS X. Zodra het OS meer aan populariteit wint, zul je waarschijnlijk ook meer virussen zien. Ik denk ook dat veel mensen op root niveau werken, wat weer een nieuw risico met zich meebrengt.

-Edit-

De eerste gebruiker die je aanmaakt is toch gewoon administrator? Ik heb hier een Mac gekregen op m'n werk (gebruik 'm nauwelijks, maar dat is een ander verhaal) en daar heb ik een gebruiker met administrator rechten. En daarmee ben ik ook standaard ingelogt (zonder wachtwoord). Wat natuurlijk ook kan is dat een Mac OS X administrator niet helemaal hetzelfde is als root niveau in Unix/Linux, ik ben wat dat betreft niet zo heel goed op de hoogte hoe dit allemaal is geimplementeerd.

Zwerver @^Mo^ • 9 april 2004 15:36

Ook misschien om aan te geven dat Mac OS X geen heilige graal is.

Alles kan stuk, ook Mac OS X. Zodra het OS meer aan populariteit wint, zul je waarschijnlijk ook meer virussen zien. Ik denk ook dat veel mensen op root niveau werken, wat weer een nieuw risico met zich meebrengt.

En dan mag jij mij uitleggen hoe een gemiddelde gebruiker dat doet met OS X. Ik heb het zelf wel eens geprobeerd hier, om netjes te su-en om iets uit te voeren, en zonder bepaalde aanpassingen aan het systeem, die je eigenlijk alleen weet als je wat unix/linux/bsd ervaring hebt lukt dit dus niet! M.a.w. de veiligheid van gescheiden user account is binnen OS X gewoon gewaarborgd, i.t.t. wat jij net zei.

Q @^Mo^ • 9 april 2004 15:44

Voor de mensen die wat minder goed geinformeerd zijn over
Mac OS X:

In tegenstelling tot windows werkt een gebruiker zeker niet als administrator. Een gebruiker is behoorlijk vrij, maar voor installatie van software, drivers, of voor speciale instellingen moet men continue een wachtwoord invoeren.

De theorie is dus dat een virus zich niet zomaar in je systeem kan nestelen zoals dat bij windows kan. Als de gebruiker echter niet oplet zou het nog wel mis kunnen gaan, maar ik denk dat dit een zeer addequate beveiligingsmethodiek is.

SirBlade @^Mo^ • 9 april 2004 15:55

root niveau is leuk als je wat aan het OS zelf wil doen, als een virus echter "rd *.* /s/q" uitvoert in "My documents" gevolgd door en "empty recycle bin" (en zoiets dergelijks kan dacht ik in ieder OS).

hvlint @^Mo^ • 9 april 2004 22:50

een gebruiker bij osx kan welliswaar beheerder zijn, hij kan dan software installeren instellingen veranderen enz enz als hij maar bij alles een wachtwoord in voert, maar daarmee is de gebruiker nog geen root, dat is weer een stap verder, je moet wel iets doen om root rechten te krijgen.

Shiver23 @-GSF-JohnDoe • 9 april 2004 15:19

Ja, als bedrijf dat anti-virussoftware maakt, mensen bang maken voor virussen, zodat ze deze software zullen kopen.

Komt niet echt geloofwaardig over

Q 9 april 2004 15:41

Misschien ten overvloede:

Het betreft dus een trojaans paard Dit schijnt het eerste mac os x "virus" te zijn. Waarom een virusscanner draaien om 1 virus te detecteren?

Ik draai er zeker geen. Het is een marketingstunt om een overbodig product te verkopen.<div class=r>[Reactie gewijzigd door [Q]]</div>

obimk1 9 april 2004 17:12

Standaard onder mac os x wordt er geen root account aangemaakt, bij installatie en set-up van het systeem kunnen er 2 soorten accounts worden gedefinieerd. Er kan een normale gebruiker en een administrator worden aangemaak bij de set-up van os x, De administrator heeft meer rechten als de standaard user, maar nog minder als een volledige 'root' gebruiker (de superadmin/user)
Een account actief maken met volledige root privileges is een bewuste handeling (hetzij in netinfo manager app,of via terminal). Als standaard gebruiker kun je de meeste systeem instellingen via een password van de administrator instellen, maar sommige instellingen kunnen alleen worden veranderd met superadmin/user rechten.
Als er schade wordt aangericht dan is dat alleen voor de actieve gebruiker. Andere gebruikers hebben daar geen last van.
Ook zgn root processen zijn niet zomaar door een virus,trojan of ander programma te stoppen. Er is inmiddels een proggie om te testen of een (mp3) bestand eenapplicatie is.

In een duitse newsgroup is een thread waarin wordt beschreven hoe je een applicatie 'zou' kunnen bouwen, uiteindelijk heeft iemand dat gedaan en het resultaat is uit te testen. Intego heeft dit heel slim opgepakt, kijk maar naar de datum van de posts..

http://groups.google.com/groups?hl=en&lr=&ie=UTF-8 &oe=UTF-8&safe=off&frame=right&th=631707378ffe9292 &seekm=blgl-5D750C.02150821032004%40news.bahnhof.s e#link6

Verwijderd 10 april 2004 21:33

Het artikel op wired is inmiddels gerectificeerd. Blijkbaar viel het wel mee met het virus. Zou leuk zijn als tweakers dat ook even melde.

daf 9 april 2004 15:02

Dit is erg schrikbarend. Ik ben blij dat zoiets onder Windows (nog) niet bestaat

Beaves @daf • 9 april 2004 15:06

In Windows wordt het ook een stuk lastiger, zo niet onmogelijk omdat Windows bestanden geen resource fork hebben. Windows kijkt puur naar de extentie om te bepalen welke applicatie als default voor het bestand staat ingesteld. Je kan Windows dus niet voor de gek houden met een aangepaste resource fork zoals dat wel bij de Mac kan.

En aangezien de Mac sinds OS X aan populariteit wint is het een kwestie van tijd voordat de eerste OS X virussen verschijnen die dit soort dingen gebruiken.

Oxi @daf • 9 april 2004 15:08

Echt wel!

Pas geleden nog zwierf er nog een "IRC-worm" rond die britney.jpg spamde wat geen plaatje was maar een stukje javascript... en MSIE voerde dat heel netjes uit

Skaah @Oxi • 9 april 2004 15:29

Onder Windows (NTFS althans) bestaan er Alternate Data Streams, dit is iets vergelijkbaars en kan meta-informatie over het bestand bevatten. Ook als je een deskop.ini naar een FAT32 volumen kopieëert krijg je hier een melding over.

SED @Oxi • 9 april 2004 18:26

Dat was geen JPG! Als ook tweakers al dit soort domme beginnersfouten maken ziet het er niet best uit voor de computers.
Dan maar betutteling al la Outlook en alle attachements dicht zetten.
Blijkbaar is een computer toch een moeilijk ding ...

Olaf van der Spek @daf • 9 april 2004 15:23

Eh, jij hebt nog nooit een .mp3.pif als email attachment gezien?
Vooral het feit dat Windows automatisch de laatste extensie hide is dan erg handig (NOT).

CARman @Olaf van der Spek • 9 april 2004 15:36

Automatisch de laatste extentie hide ?

Of hij laat de geregistreerde extenties niet zien, of gewoon alles. Heeft niet te maken met de volgorde. En een mp3.pif is dus duidelijk geen audiobestand dat zich ook werkelijk als zodanig gedraagt. Zelf zet ik dat soort fratsen gelijk uit in Wondows, want als je de extenties niet kunt zien, weet je vaak niet met welke soort bestand ik te maken heb.

En britney.jpg zal ook wel in werkelijkheid britney.jpg.scr hebben geheten.

Gelukkig bestaat er verder nog iets dergelijks als een virusscanner, die deregelijke bestanden direct in de kraag vat. Zo heel af en toe komt NAV wel es met de melding dat ie een of ander 'malicious script' te pakken heeft. Ook domweg tijdens het surfen. Kwestie van je AV up to date houden dus, als je het mij vraagt.

edit:

Wondows moet uiteraard Windows zijn, maar als je niet alle extenties kunt zien, zijn er ineens een hele hoop bestanden op je PC met dezelfde bestandsnaam ( die dus wel een andere extentie hebben )

Verwijderd @CARman • 9 april 2004 20:00

Automatisch de laatste extentie hide ?

Of hij laat de geregistreerde extenties niet zien, of gewoon alles. Heeft niet te maken met de volgorde.

*.mp3.pif wordt in Windows *.mp3 als het verbergen van extensies aanstaat (standaard).

En een mp3.pif is dus duidelijk geen audiobestand dat zich ook werkelijk als zodanig gedraagt.

Dat is nu juist de hele grap, dat het eruit ziet als een mp3 maar een pif is en zich dus ook zo, als virus, gedraagt.

Zelf zet ik dat soort fratsen gelijk uit in Wondows, want als je de extenties niet kunt zien, weet je vaak niet met welke soort bestand ik te maken heb.

Het is Windows, en met welk soort bestanden jij te maken hebt weet ik inderdaad niet...

Sir_Eleet @CARman • 10 april 2004 00:13

En britney.jpg zal ook wel in werkelijkheid britney.jpg.scr hebben geheten.

Tuurlijk niet.. als een bestand aangevraagd word in het http protocol word in het antwoord van de server in de header vastgelegd wat voor bestand het is, en als daar tekst/html staat word het door MSIE niet als afbeelding geopent maar dus als tekst/html...

ajvdvegt @daf • 9 april 2004 17:39

Pfff, in Outlook kon je gewoon een andere mime-type meegeven, dan had je hetzelfde. Dus van een .exe in de mime-type melden dan het audio is. Outlook 'dacht' "oh, audio, afspelen die hap!". het 'afspelen' zorgde echter voor het uitvoeren van de executable, en voila!

ILUsion @daf • 10 april 2004 14:30

dit heeft wel bestaan, maar dat was in combinatie met Windows Media Player:
stel je krijgt een geïnfecteerd MP3-bestand binnen ( x.mp3, niet iets als x.mp3.pif !), Windows Media Player opent het en ziet: "Dit is geen MP3-bestand"
Wat er nu gebeurt is de fout: WMP kijkt na: zou dit geen ander bestandsformaat kunnen zijn? WMP gaat zijn lijstje af: WMA? Nee. WMV? Nee. MPEG? Nee. ASF? Ja, bingo!
WMP opent dus het bestand alsof het een ASF was. In het ASF-bestand staat: download volgend script van een server, WMP doet dit en opent het scriptje dus zit je met de gebakken peren.

OK, niet helemaal een Windows-voorval, maar je kon/kunt het evengoed voorhebben als je WMP niet up-to-date is.
Overigens gaf WMP enkel een waarschuwing als hij het bestandsformaat ook niet kon herkennen als een ander formaat. Hoe dat nu zit, weet ik niet; want WMP gebruik ik niet meer zo veel (WA5).

zeekoe @daf • 11 april 2004 13:32

Heb wel eens zo'n vaag zipje gehad, wat geen goed zipje was, maar als je het opende met dat windows zip geval zal er wel wat fout gaan. Dus onder windows is dit net zo goed mogelijk.

stewie 9 april 2004 15:50

je kan het in mac OS X alleen zonder problemen uitzetten

want er gebeurt niets ernstig met je mac...

typ killall "bestandnaam.app.mp3"

Verwijderd 9 april 2004 16:58

Deze nieuwsposting is nogal onduidelijk, deels ook door de titel.

De titel had moeten zijn 'eerste mac OS-X trojan horse virus gevonden' oid, om duidelijk te maken wat de kern van het bericht is. Het belangrijkste is nl.niet dat dat bedrijf dat virus heeft ondekt, maar uberhaupt dat er zo'n virus ontdekt is voor OS-X.

Verwijderd 9 april 2004 18:15

Dan moeten ze eerst een nog groter aandeel hebben in de markt wil zoiets gebeuren. Om een virus te schrijven voor de Mac moet je volgens mij

1. Een erge afkeer hebben van het systeem
2. Verstand van schrijven van Mac applicaties

Lijkt me niet dat die 2 samengaan. Maar misschien zien sommige mensen het als een uitdaging om zoiets te laten slagen.

van macosx.nl

Het toeval(?) wil dat Network Associates vandaag uitkoos om te komen met een beta van Virex 7.5, ook wel bekend als de .Mac virusscanner. Het programma maakt gebruik van auto-updating, biedt scheduling functionaliteit om naar behoefte te scannen en is gebaseerd op de nieuwste McAfee engine.

Het zou me weinig verbazen als bedrijven die virusscanners maken zelf ook bijdragen aan het ontstaan van nieuwe virussen. Er is toch niemand die erop toeziet dat zulke bedrijven niet vals spelen.

"Dit virus is nog niet in het wild gesignaleerd" stond er laatst op de site van Symantec. Dan gaat er toch wel ergens een lichtje branden. En natuurlijk willen dit soort bedrijven ook graag een graantje meepikken op een ander besturingssysteem.

Filmpjes die een prg executable in de rescourse-fork hebben.. hoe wil je die ooit verspreiden?

Er zullen geen bekende mac-sites zijn die zulke filmpjes aanbieden en Safari en I.E. op de Mac zijn geen browsers die uit het niets pop-ups geven als je ze niet geopend hebt. (het zit immers niet in het OS geintegreerd).En daarbij komt nog safari standaard ongevraagde pop-ups blockt.

stewie 9 april 2004 21:44

daarom is mac os x beter...
deze trojan kan niet in-loggen als root..
kan dus helemaal geen kwaad.....

http://www.intego.com/news/pr41.html
What sort of damage can a Trojan horse like this do on Mac OS X?

Fortunately, unless a user is logged in as root, this type of Trojan horse cannot damage any system files as the permissions applied to these files protect them. However, it could conceivably delete any or all of a user's personal files. If a user is logged in as root, then a Trojan horse of this type could delete system files as well.

A Trojan horse like this could also easily delete files on external hard disks, where users generally turn off ownership and permissions, authorizing anyone to act on the files they contain.

Verwijderd 10 april 2004 00:14

Even wat info mbt. dat britney.jpg ding..
Windows != IE

Windows zelf kijkt wel naar de extensie, rename paint.exe maar eens naar paint.txt en je zal zien dat windows het bestand met je txt editor opent.

Heb je echter random script en rename je dat naar bijvoorbeeld .jpg, en opent het daarna met IE, zal IE het script uitvoeren.

IE is dus degene die niet naar extensies kijkt.
Met bijv. Firefox heb je hier geen last van.

'britney.jpg' was/is niets meer dan een VBS script waar we inmiddels meer dan 25 varianten van hebben gezien dat gebruik maakt van een bepaald lek in IE(mediabalk)

Hierdoor kan een file weggeschreven naar de HDD, vaak/atijd als wmplayer.exe in '\program files\windows media player', waardoor er bij mensen die wmp7+ als default media player ingesteld hebben, wmp wordt gerund om de 'media file' af te spelen, aangezien wmplayer.exe vervangen is, wordt de malware ge-execute.

britney.jpg = TrojanDownloader.VBS.Psyme.a
downloaded/executed file = IRC-Worm.Fagot

Dit is slechts een van de vele voorbeelden.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (31)

Sorteer op:

Weergave: